clases para el final
TRANSCRIPT
Administración de Riesgos
Nelly Reyes I.
Contenido
Información, conceptos
Sistemas de Gestión de Seguridad de la Información
Activos de información y Análisis de Riesgos
Norma ISO 27001
Definición e implantación de controles
Desarrollo de política de Seguridad de la Información
INFORMACIÓNConceptos
Información
La información, junto a los procesos y sistemas que hacen
uso de ella, es un activo vital para el éxito y la continuidad
en el mercado de cualquier organización, y debe ser
protegida adecuadamente.
Ciclo de vida
La información puede ser:
» Creada
» Guardada
» Destruida
» Procesada
» Transmitida
» Utilizada (con fines adecuados e inadecuados)
» Corrompida
» Robada
» Perdida
Tipos de información
Impresa o escrita en papel
Guardada electrónicamente
Transmitida por correo o medio electrónicos
En videos corporativos
Publicada en la web
Verbal – en conversación
Información
Conjunto de datos organizados en poder de una entidad
que posean valor para la misma, independientemente de
la forma en que se guarde o transmita, de su origen o de
la fecha de elaboración
Clasificación de información
CATEGORIA DESCRIPCIÓN Ejemplo Documento/Registro Marcado Control Físico/Administrativo Reproducción Distribución Destrucción/Eliminación
PUBLICA
La información que puede ser
ampliamente distribuida sin
causar daños a la organización,
sus empleados y stakeholders.
El departamento de Gestión de
Seguridad de la Información
debe pre-aprobar el uso de esta
clasificación.
Esta información puede ser
divulgada a personas ajenas a
la organización.
materiales de marketing autorizados
para su publicación, tales como
anuncios, folletos, páginas Web,
catálogos, anuncios de vacantes.
Ninguno Ninguno Ilimitado Sin restricciones Reciclaje/Basura
INTERNA
La información cuya divulgación
no autorizada, sobre todo fuera
de la organización, sería
inadecuado e inconveniente.
Su divulgación fuera de la
empresa requiere autorización
de la administración.
La mayoría de la información
empresarial cae en esta categoría.
memorandos, boletines internos,
materiales de capacitación, políticas,
procedimientos de operación,
instrucciones de trabajo, guías,
directorios telefónicos y de correo
electrónico, información promocional
(antes de autorizar la liberación),
opciones de inversión, informes de
la productividad, informes
disciplinarios, contratos, acuerdos
de nivel de servicio, páginas intranet.
"SÓLO PARA USO
INTERNO" se aplicará a la
esquina inferior izquierda
de cada página.
Autor: responsable de las
marcas adecuadas.
Usuario: responsable de
almacenamiento y control
de documentos.
Número limitado de
copias.
Solo pueden ser hechas
por los empleados, o
por los contratistas y
terceros que han
firmado un acuerdo de
confidencialidad
adecuados.
Interior: usar un sobre de correo
interno.
Externo: utilizar un sobre cerrado.
Electrónicos: uso del sistema de
correo interno.
Para la transmisión a las direcciones
de correo electrónico externo, es
necesario encriptación.
Fax: cuidar el número de FAX
Documentos en papel:
triturar.
Documentos electrónicos:
borrar o desmagnetización
medios magnéticos.
Enviar CDs, DVDs, discos
duros muertos, portátiles,
etc. a TI para su adecuada
disposición.
CONFIDENCIAL
Altamente sensible o
información valiosa, tanto
propietaria como personal.
No debe ser divulgada fuera de
la organización sin la
autorización explícita de un alto
directivo de nivel de director.
Las contraseñas y códigos PIN,
números de tarjeta de crédito y
débito, información personal (tales
como registros de los empleados,
números de Seguro Social), la
mayoría de los datos contables, otra
información de propiedad altamente
sensibles o valiosos.
"CONFIDENCIAL" Aplicar a la
esquina inferior izquierda de
cada página.
Autor: responsable de asegurar
que la información confidencial
se distribuye en estricta
necesidad de conocimiento .
Destinatario: responsable de
asegurar que la información
confidencial es cifrada y/o
mantenida bajo llave.
Se pueden hacer copias
sólo con el permiso del
autor o de quien éste
designe.
Presentar autorización
firmada.
Interior: usar un sobre cerrado dentro
de un sobre de correo interno.
Entregar personalmente si es
posible.
Externo: utilizar un sobre cerrado sin
formato. Entregar personalmente o
enviar por correo certificado,
mensajería, etc.
Electrónico: el uso del sistema de
correo interno. Encyrpt datos.
Fax: requiere la confirmación
telefónica de la recepción de una
página de prueba inmediatamente
antes de enviar el fax, y la
confirmación telefónica de la
recepción completa.
Documentos en papel: triturar
con una trituradora corte
transversal.
Documentos electrónicos:
borrar o desmagnetización
medios magnéticos. Enviar
CDs, DVDs, discos duros
muertos, portátiles, etc. a TI
para su eliminación adecuada.
SEGURIDAD DE LA
INFORMACIÓNConceptos
Seguridad de la Información
Amenazas: Nos acechan…
Robo de información
Sabotaje de datos
Entradas no autorizadas al sistema
Abuso interno
Denegación de Servicio
Virus, Troyanos, Gusanos
Fraude telefónico
Robo de material
¿Y qué hacemos habitualmente?
¡A quién va a interesarle mi información!
Tengo un Firewall, así que estoy protegido
Ya sería mala suerte que tuviese una Inspección
¡Lo que me interesa es que FUNCIONE YA!, después ya
veremos la seguridad…
¿Seguridad?
La Seguridad es un Proceso de Mejora Contínua
La Solución no es sólo Tecnológica
Cumplimiento Ley: Obligatoriedad, Multas
Estándares: ISO 27001, camino a seguir
Redes, Sistemas, Procesos… ORGANIZACIÓN
Visión de la Seguridad
SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, AntiVirus,
VPNs, Control de Contenidos, etc.
DISEÑO: Topologías, Arquitecturas, Servicios
GESTIÓN Y OPERACIÓN: Procedimientos, Políticas
ESTÁNDARES: ISO27001, NTP 17799
LEGISLACIÓN: LPDP, Firma Digital,
Interoperabilidad
Implementar
Gestionar
Planificar
Probar
CONSULTORÍA IMPLEMENTACIÓN AUDITORÍA
Asegurando la información
» Secreto impuesto de
acuerdo con políticas de
seguridad.
» SINO: Fugas y
filtraciones de
información; accesos no
autorizados; pérdida de
confianza de los demás
(incumplimiento de leyes
y compromisos).
» Validez y Precisión de
información y sistemas.
» SINO: Información
manipulada, incompleta,
corrupta y por lo tanto mal
desempeño de funciones.Prevenir
Divulgación no autorizada de
Activos de Información.
Prevenir
Cambios no
autorizados en
Activos de
Información.
Prevenir
Destrucción no autorizada de
Activos de Información.
» Acceso en tiempo correcto y confiable
a datos y recursos.
» SINO: Interrupción de Servicios o Baja
Productividad.
Seguridad de la información
En la gestión efectiva de la seguridad debe tomar parte
activa toda la organización, con la gerencia al frente,
tomando en consideración también a clientes y
proveedores de bienes y servicios.
El modelo de gestión de la seguridad debe contemplar
unos procedimientos adecuados y la planificación e
implantación de controles de seguridad basados en una
evaluación de riesgos y en una medición de la eficacia de
los mismos.
Problema
¿Solución?
¿Super Poderes?
¿Balas de Plata?
Solución
Un mapa
– Qué soluciones
– En qué orden
– Apoyadas en qué políticas
– Con qué procedimientos
– ...
SGSIConceptos
Sistema de Gestión de la Seguridad de la Información
Es la herramienta de la organización para dotarse en cada
momento de las medidas de seguridad oportunas, que
proporcionen los niveles de protección de la información
que en cada momento sean necesarias, de la forma más
eficiente, en un entorno de mejora continua.
SGSI
Proceso sistemático, documentado y conocido por toda la
organización, desde un enfoque de riesgo empresarial.
Ayuda a establecer políticas y procedimientos en relación
a los objetivos de negocio de la organización, con objeto
de mantener un nivel de exposición siempre menor al nivel
de riesgo que la propia organización ha decidido asumir.
Con un SGSI, la organización conoce los riesgos a los que
está sometida su información y los asume, minimiza,
transfiere o controla mediante una sistemática definida,
documentada y conocida por todos, que se revisa y
mejora constantemente.
Fases del SGSI
PDCA (Plan, Do, Check, Act)
– Plan: Establecer el SGSI
– Do: Implementar y operar el SGSI
– Check: Monitorear y revisar
– Act: Mantener y mejorar.
Establecer el SGSI
Definir una
política del SGSI
Definir la
metodologia de
evaluación del
riesgo
Identificar el
riesgo
Aprobación por la
dirección de los
riesgos residuales
propuestos
Seleccionar
objetivos de
controles
Identificar y
evaluar las
alternativas de
tratamiento del
riesgo
Analizar y Evaluar el riesgo
Autorización de la Dirección para implementar y operar un SGSI
De
cl
ar
ac
ión
de
ap
lic
ab
ilid
ad
Implementar y operar el SGSI
Formular un plan de tratamiento de riesgo
Implementar el plan de tratamiento de riesgo.
Implementar los controles
Formación y concienciación
Gestionar las operaciones y recursos del SGSI.
Implementar los procedimientos y controles que permitan
una pronta detección de y respuesta a incidentes de
seguridad.
Monitorear y revisar
Revisar el SGSI
Medir la eficacia de los controles
Revisar riesgos residuales
Registrar acciones y eventos
Realizar auditorias internas
Mantener y mejorar
Implementar las mejoras identificadas.
Tomar las acciones correctivas y preventivas apropiadas
Comunicar los resultados y acciones a los stakeholders.
Asegurar que las mejoras logren sus objetivos señalados.
Fases del SGSI
Implementación y certificación
ANÁLISIS DE RIESGOSConceptos
Análisis de Riesgos
Definición de Activos
El análisis de riesgo.
Los cursos de acción posibles.
La declaración de intenciones de la Dirección
Análisis de Riesgos
Un buen enfoque o metodología de gestión de riesgos debe considerar 4 fases:
1. Inventario de activos (valor del activo),
2. Análisis de riesgos (determinar la probabilidad de ocurrencia del riesgo),
3. Evaluación del riesgo (para determinar el nivel del riesgos efectivo y saber si es o no tolerable)
4. Tratamiento del riesgos que es donde usualmente decidimos afrontar el riesgo y consecuentemente
seleccionamos los controles a implementar
ACTIVOS DE INFORMACIÓNConceptos
Activos de Información
Activo es aquello que tiene algún valor para la
organización y debe protegerse.
Un activo de información es aquel elemento que contiene
o manipula información.
Activos de información
Archivos y bases de datos
Contratos y acuerdos
Documentación del sistema
Manuales de los usuarios
Material de formación
Aplicaciones
Software del sistema
Equipos informáticos
Equipo de comunicaciones
Servicios informáticos y de comunicaciones
Utilidades generales (calefacción, energía, iluminación y aire acondicionado)
Las personas
ANALISIS DE RIESGOSConceptos
¿Qué es Riesgo?
Amenaza: Algo que tiene el potencial de dañar a un activo.
Vulnerabilidad: Una debilidad en el activo que puede ser
explotada por una amenaza.
Riesgo: La posibilidad de que una amenaza explote una
vulnerabilidad de un activo y cause su daño o perdida
Amenazas
Usuario con grandes
conocimientos
Robo o sabotage
Virus
Fallo de red o
de sitema
Falta de
documentacionFallo de seguridad
fiisica
Desastres
naturales e
incendios
Riesgo
Amenazas
Vulnerabili
dades
Explotan
Riesgo
Valor del
activo
Requisitos
de seguridad
Activo de
informaciónControles
Analisis de Riesgo
Activo de
Información
Riesgo intrínseco
Amenaza Vulnerabilidad
Riesgo residual
Control
tieneExpuesto a
Explota
Aplica
Queda
Análisis de Riesgo
Matriz CID
Confidencialidad Baja Media Alta
Integridad B M A B M A B M A
Disponibilidad
Baja 3 4 5 4 5 6 5 6 7
Media 4 5 6 5 6 7 6 7 8
Alta 5 6 7 6 7 8 7 8 9
Matriz de valoración del activo
Análisis de Riesgos
Severidad de amenaza y vulnerabilidad
Severidad Amenaza Baja Media Alta
Severidad Vulnerabilidad B M A B M A B M A
Valor del Activo
3 3 6 9 6 12 18 9 18 27
4 4 8 12 8 16 24 12 24 36
5 5 10 15 10 20 30 15 30 45
6 6 12 18 12 24 36 18 36 54
7 7 14 21 14 28 42 21 42 63
8 8 16 24 16 32 48 24 48 72
9 9 18 27 18 36 54 27 54 81
Análisis de Riesgos
Probabilidad ocurrencia
Valor Explicación Ejemplo
1 Nunca No en los ultimos 3 años
2 Raro Una vez al año
3 Periodico Una vez por trimestre
4 Regular Una vez cada 15 días
5 Frecuente Una vez a la semana
Impacto = Valor tabla severidad vulnerabilidad y amenza x probabilidad
Análisis de Riesgos
Tratamiento del Riesgo
Nivel de
riesgo no
aceptable
Nivel de
riesgo
aceptable
Nivel de
riesgo
tolerable
Riesgos aceptados y asumidos
(No se tratan)
Asumir
Eliminar
Mitigar
Transferir
Mitigar riesgos
Seleccionar
Control
Implantar
Control
Verificar
Control
Establecer
Metricas
RiesgoRiesgo
Ejercicio: Análisis de Riesgos
Instrucciones:
En grupos, identifique 5 Activos de información de su
organización, formule un análisis de riesgos a los que
estarían sometidos.
27000La Norma
ISO 27000
La serie de normas ISO/IEC 27000 es una lista de
estándares dedicados a seguridad.
La serie 27000 es un conjunto de estándares que
proporcionan un marco de gestión de la seguridad de la
información utilizable por cualquier tipo de organización,
pública o privada, grande o pequeña.
Evolución ISO 27001
ISO 27001
Orientada a aspectos organizativos.
“Organizar la seguridad de la información”
» requerimientos para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un SGSI documentado dentro del
contexto de los riesgos comerciales generales de la organización.
Pone/demuestra “Calidad” en la seguridad de la
Información.
ISO 27001
Realizar los cambios
necesarios para maximizar
el rendimiento del SGSI
Diseño del SGSI
Implantación y
operación de los
controles
Revisar y evaluar la
eficiencia y eficacia
del SGSI
Familia ISO 27000
... Y en fase de desarrollo
ISO/IEC 27007 - Guía de auditoría de un SGSI,
ISO/IEC 27008 - Guía de auditoría de los controles,
ISO/IEC 27010 - Seguridad de la información en comunicaciones inter-sectoriales,
ISO/IEC 27012 - Requisitos y directrices de servicios de e-Administración,
ISO/IEC 27013 - Implementación integrada de ISO/IEC 27001 y de ISO/IEC 20000-1,
ISO/IEC 27014 - Guía de gobierno corporativo de la seguridad de la información,
ISO/IEC 27015 - SGSI para organizaciones del sector financiero y de seguros,
ISO/IEC 27031 - Continuidad de negocio en TIC,
ISO/IEC 27032 - Guía relativa a la ciberseguridad,
ISO/IEC 27033 - Dedicada a la seguridad en redes,
ISO/IEC 27034 - Seguridad en aplicaciones informáticas,
ISO/IEC 27035 - Gestión de incidentes de seguridad de la información,
ISO/IEC 27036 - Seguridad de outsourcing,
ISO/IEC 27037 - Identificación, recopilación y preservación de evidencias digitales.
Los Recursos de TI
Las aplicaciones incluyen tanto sistemas de usuario automatizados como
procedimientos manuales que procesan información.
La información son los datos en todas sus formas, de entrada, procesados y generados
por los sistemas de información, en cualquier forma en que sean utilizados por el
negocio.
La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos,
sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio
donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de
las aplicaciones.
Las personas son el personal requerido para planear, organizar, adquirir, implementar,
entregar, soportar, monitorear y evaluar los sistemas y los servicios de información.
Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se
requieran.
Nelly Reyes I.
Administración de
Riesgos
GOBIERNO
DE LAS TECNOLOGIAS DE INFORMACIÓN
Nelly Reyes
Tópicos a tratar
1. Introducción, el escenario actual
2. La Globalización y las TI
3. Esquema de Gobierno de TI
4. Alineamiento de TI & Valor Agregado
5. Medición del Desempeño
6. Gestión del Riesgo
7. Seguridad
El impacto cultural será diferente según la conciencia que tenga de su propia identidad.
¿Cómo entiende la globalización?
Una nueva realidad en las organizaciones
Dada la incertidumbre y turbulencia del contexto, las
organizaciones deben redefinir sus variables para
responder con competitividad.
Análisis sistémico de las variables:
» Estrategia,
» Estructura,
» Recursos humanos y cultura.
Estrategia
En los ’65, estrategia como coalición: Política.
’75, fijación de objetivos a LP: Planificación estratégica.
‘80, adaptación al entorno: Administración estratégica.
‘2k, el mundo es una construcción del hombre: Ventaja
competitiva.
Hoy, el mundo es una red de redes: Estrategia global.
Estructura
No existe una única mejor manera.
Tendencia a estructuras planas.
Flexibilidad organizativa y proyectizada.
Aplicando desburocratización.
Que piense globalmente y actúe localmente.
Bennetton?, IBM?, Coca Cola?.
Recursos humanos y cultura
Trabajo autoprogramable.
Trabajo genérico.
Nueva relación laboral: Nonaka.
Senge: la velocidad a la que aprenden puede ser la única
ventaja competitiva.
Las TIC, agente catalizador de la globalización
La brecha digital
Inclusión digital
Realidades
País Población Usuarios Internet % inclusión
Argentina 38,592,000 6,153,000 15.94%
Chile 16,267,000 4,300,000 26.43%
México 106,147,000 14,037,000 13.22%
Brasil 187,597,000 22,001,000 11.73%
Colombia 46,039,000 4,050,000 8.80%
Perú 27,947,000 3,229,000 11.55%
Cuba 11,367,000 150,000 1.32%
Nicaragua 5,483,000 125,000 2.28%
Paraguay 6,216,000 150,000 2.41%
Uruguay 3,455,000 680,000 19.68%
Pos País IAD
1 Sweden 0.85
43 Chile 0.58
50 Uruguay 0.54
54 Argentina 0.53
48 Costa Rica 0.52
62 Brasil 0.50
62 México 0.50
72 Venezuela 0.47
72 Panamá 0.47
78 Colombia 0.45
82 Peru 0.4493 Rep. Dominicana 0.42
95 Ecuador 0.41
99 Paraguay 0.39
103 Bolivia 0.38
103 Cuba 0.38
103 Guatemala 0.38
103 El Salvador 0.38
124 Honduras 0.29
134 Nicaragua 0.19
178 Niger 0.04
ÍNDICE DE ACCESO DIGITAL
El índice de acceso digital (IAD): Un
nuevo instrumento para medir el
acceso a la sociedad de la
información
Cambio de Paradigma; Organización
La comunicación en
tiempo real
La velocidad con que se
producen los cambios
La generación de
nuevos Paradigmas
Son la plaza pública de
antaño CREA
un entorno
altamente
inestable
y, TEMOR
A quedar
aislado
El proceso de globalización …
Gobierno corporativo
Gestión/Gobierno de las TI
GESTIÓN TI
Soporte
GOBIERNO TI
Alineación
En un estudio realizado en un congreso de Mejores
Prácticas de TIC se preguntó a más de 650 asistentes, todos
ellos miembros de departamentos TI, cuáles consideraban
que serían las “Peores Prácticas” de su actividad laboral en
sus respectivas organizaciones.
Por aplastante mayoría la “Peor Práctica” identificada fue:
No medimos cuál es el valor de nuestra contribución a la
estrategia de la compañía.
Gobierno de las TI, Valor
Las inversiones en TI como una cartera de inversión
0 10 20 30 40 50 60
1994
1995
1998
2000
2004
2006
2008
31
40
28
23
15
19
21
53
33
46
49
51
46
48
16
27
26
28
34
35
31
Succeeded Challenged Failed
30,000 Proyectos, Extreme Chaos Report 2008, Standish Group
Proyectos TI, en el mundo
EXCEDIDO EN COSTOS
Entre 20 % y 50 % 47.00 %
Entre 51 % y 200 % 39.80 %
Entre 201 % y +400 % 13.20 %
EXCEDIDO EN CALENDARIO
Entre 20 % y 50 % 32.20 %
Entre 51 % y 200 % 55.50 %
Entre 201 % y +400 % 12.30 %
FUNCIONALIDAD INCLUIDA EN EL PRODUCTO
Menos del 25 % 4.60 %
Entre 26 % y 75 % 49.00 %
Entre 76 % y 99 % 39.10 %
100 % 7.30 %
30,000 Proyectos, Extreme Chaos Report 2008, Standish Group
Proyectos TI, en el mundo
Las TI requieren más conocimiento técnico que otras
disciplinas para entender cómo:
» Son herramientas habilitantes de cambios en la organización,
» Generan riesgos,
» Crean oportunidades.
Tradicionalmente, las TI han sido tratadas como
entidades separadas del negocio.
Las TI son complejas, más aún en una organización que
opera en una economía en red.
¿Por qué no han logrado atención?
SIT-PG
ISO 27000
ISO 38500
eTOM
TAM
¿y las mejores prácticas? …
Generar acciones tendientes a crear valor para los
inversionistas y agentes externos
Adoptar un esquema para la gobernabilidad de las TI
Hacer las preguntas que corresponde
Focalizar las TI en:
» Alineamiento con el negocio
» Agregar valor
» Gestión del riesgo
Medir resultados
Valor
agregado de
las TI
Conductores de
valor para el
inversionista
Indicadores de
desempeño
Gestión del
Riesgo
Alineamiento
estratégico de
las TI
¿Qué debería hacer la alta gerencia?
Se estima que alrededor de un tercio del crecimiento de
los últimos años en EEUU se debe a mejoras en
productividad y al efecto de las TIC.
En Perú, las empresas destacan entre las principales
motivaciones para invertir en TI, factores como:
» la disminución de los tiempos de respuesta en los procesos,
» disminución de redundancia de información y
» mejoras del servicio al cliente.
» fuerte disminución de los precios de los bienes computacionales.
… en Perú
Arquetipos de Gobierno TI
Mecanismos comunes de Gobierno TI
Mecanismos comunes de Gobierno TI
Para medir el nivel de inteligencia TI de la compañía, cada directivo debería
empezar por hacerse las siguientes preguntas:
Gerente General:
1. ¿Quién tiene la responsabilidad de tomar nuestras decisiones TI clave, y
cómo convertirlos en responsables del rendimiento y productividad de esas
decisiones?
2. ¿Cómo se vincula el gobierno de TI de mi empresa con el gobierno de los
otros activos clave de la compañía, tales como nuestros recursos humanos,
nuestros conocimientos, nuestros activos físicos y nuestros activos
financieros?
3. ¿Cuáles son las tres o cuatro métricas clave que debería supervisar para
asegurarme que la empresa genera el máximo valor de nuestras inversiones
en TI?
4. ¿Cuál es el nivel de nuestra inteligencia en TI? ¿ Cuál es el nivel de mi
inteligencia TI?.
Agenda interrogativa …
Gerente Financiero:
1. ¿Cuáles son las principales clases de activos dentro de nuestro portafolio de
inversiones TI?
2. ¿Cuál ha sido nuestro riesgo y retorno histórico en los diferentes activos TI?
3. ¿Cómo puedo contribuir a la mejora de decisiones en inversiones TI?
Gerente de División:
1. ¿Qué porcentaje de los procesos clave de mi división están ya automatizados
y optimizados?
2. ¿Cuál es el nivel de inteligencia TI de mis recursos humanos? ¿Cuál es mi
nivel de inteligencia TI?
3. ¿Qué nivel de efectividad posee mi relación con el departamento TI? ¿Qué
papel desarrollamos en esa relación?
4. ¿Qué nivel de inteligencia empresarial tiene mi departamento TI?
5. ¿Cómo se adoptan las decisiones TI en mi división de la compañía?.
Agenda interrogativa …
Gerente de Recursos Humanos:
1. ¿Cuál es el nivel de inteligencia TI de los empleados no TI de la empresa?
2. ¿Cuál es el nivel de inteligencia empresarial de los empleados TI?
3. ¿Hemos implantado incentivos para incrementar la inteligencia TI en la
empresa?
4. ¿Qué efectividad posee nuestro programa de desarrollo profesional para
incrementar el nivel de la inteligencia TI?
5. ¿Con qué herramientas medimos su resultado?
Agenda interrogativa …
Gerente de TI (CIO):
1. ¿Qué porcentaje de los procesos clave de la empresa están automatizados y
optimizados? ¿Cuál es este porcentaje respecto a las ventas de la compañía?
¿Cuál es este porcentaje respecto a las compras de la compañía?
2. ¿Qué nivel de inteligencia TI tienen las divisiones de la
empresa?¿Deberíamos modificar la asignación de inversiones TI para las
distintas divisiones de tal modo que quede reflejada la diferencia?
3. ¿Cómo contribuyo mediante mi trabajo el nivel de inteligencia TI de los
directivos no TI?
4. ¿Cuál es la distribución actual de nuestra cartera de inversiones TI según los
diferentes tipos de activo?
5. ¿Cuál ha sido nuestro retorno histórico por tipo de activo y división de la
compañía?
6. ¿Qué cambios debo realizar en nuestro sistema de gobierno de las TI para
poder dar respuestas adecuadas a las preguntas anteriores?
Agenda interrogativa …
1. Gobierno de TI es el factor más importante para producir valor por
parte de los departamentos de TI. No obstante, son las conductas, no
las estrategias, las que crean valor. En consecuencia, la parte más
difícil de un esquema de Gobierno de las TI es la relativa al fomento
de las conductas óptimas.
2. Los Departamentos de TI deberían siempre expresar numéricamente
el valor de sus resultados.
3. A partir de ahora sus habilidades de gestión serán tan o más
importantes que sus conocimientos técnicos. Estos se pueden
externalizar. En cambio, la dirección efectiva de un Departamento TI
no se puede externalizar.
Algunos comentarios para reflexión…
IT GOVERNANCE
NORMAS ISO, NTP, ITIL ...
Leyes, LPDP, Directivas ONGEI,...
SEGURIDAD INFORMÁTICA
INFORMATIZACIÓN
Gobierno de TI, definición
Gobierno del las TI, como otros temas de
gobernabilidad, es responsabilidad de los ejecutivos e
inversionistas (representados por el directorio).
Consiste en el liderazgo, estructuras organizacionales y
procesos que aseguren que la organización de las TI
sustentan y extienden las estrategias y objetivos
organizacionales.
Gobierno de TI, definición
Elementos comunes en las diferentes definiciones;
Responsabilidad de la alta gerencia,
Proteger a los accionistas,
Asegurar la transparencia del riesgo,
Dirigir y controlar la inversión, oportunidad, beneficios y
riesgos asociados a las TI,
Alinear las TI con el negocio y aceptar que las TI son una
entrada crítica y un componente del plan estratégico,
influenciando las oportunidades estratégicas.
Sustentar las operaciones presentes y futuras,
Es una parte integral de la estructura de gobierno global.
Gobierno de TI, definición
Establecer
objetivos
medibles
Comparar
resultados
Cumplir de
acuerdo a
objetivos
Medir desempeño
Actuar si no existe alineamiento
Marco de referencia para el gobierno de las TI
1) Facilitar la actividad de la empresa
2) Garantizar la integridad de la información en la empresa
3) Desarrollar un punto centralizado para los clientes
4) Desarrollar una arquitectura TI uniforme
5) Utilizar los estándares de la industria
6) Reutilizar antes que comprar y comprar antes que
desarrollar
7) Gestión de las TI como una inversión
Principios del Gobierno de las TI
Actividades
D/G Planificar
D Dirigir
G
D/G Dirigir
G Organizar
Estar informado del papel e impacto de las TI en la organización
Establecer dirección y ganancia esperada
Determinar las capacidades e inversiones requeridas
Asignar responsabilidades
Sustentar operaciones habituales
Hacer que las transformaciones se concreten
Definir las restricciones dentro de las cuales operar
Adquirir y movilizar recursos
Medir desempeño
Manejar el riesgo
Obtener seguridad
D/G Dirigir
D Dirigir
G Organizar
D Controlar
D/G Controlar
D Controlar
Directorio y/o
Gerencia
Tipo
Actividad
Planificar
Gobernabilidad TI, actividades
Gobernabilidad TI, temas
Los objetivos de las TI—
cómo:
Mejora eficiencias
Incrementa los ingresos
Apoya la creación de nuevas capacidades
Apoya procesos centrales del negocio
Permite nuevos modelos de negocios
Las oportunidades y
riesgos de las nuevas
tecnologías:
Internet e intranet
E-commerce
Mobile computing
Workflow technology
Knowledge systems, etc.
Procesos y competencias
claves:
Rendimiento sobre la inversión de los proyectos e iniciativas TI.
Cumplimiento de éstos de acuerdo a expectativas
Desempeño de los servicios TI en relación al nivel de servicio acordado
Riesgos de las TI, protección de activos y seguridad de la información
Estrategias para el outsourcing y adquisición de TI
Procesos relevantes asociados a las TI, tales como el cambio,
aplicaciones y gestión de problemas
Competencias claves asociadas a las TI: planificación, soporte,
operaciones, gestión de proyectos, gestión del conocimiento
Comportamiento ético, privacidad de los datos, y prevención de fraudes
... el ejemplo de Finlandia
« … cuyo gobierno reconoció en 1992 la carencia de
planteamientos estratégicos en las áreas de TIC, dando lugar
a un rediseño de su enfoque y visión a nivel país,
definiéndose como una avanzada sociedad de información
basada en redes de trabajo, y como un competidor de clase
mundial TIC.
Luego, el gobierno establecería un plan estratégico, con
lineamientos orientados a incorporar TI definitivamente y
como pieza fundamental en el desarrollo del país.
Como resultado, Finlandia logró levantar sus lívidas tasas de
crecimiento del orden del 2% a más del 4%, así como reducir
su índice de desempleo del 18% registrado en 1994, a tasas
1,3% en 2009 ».
El directorio debiera conducir el alineamiento a través de:
»Asegurarse de que la estrategia de TI está alineada con la estrategia del
negocio
»Asegurarse que las TI prestan un servicio según la estrategia por medio
de expectativas y mediciones claras
»Dirigir la estrategia de TI de tal forma que exista un balance entre las
inversiones de soporte y el crecimiento de la organización
»Tomar decisiones acerca de donde focalizar los recursos de TI
“La alineación de
TI es el viaje, no el
destino”
Estrategia
del Negocio
Operaciones
de TI
Estrategia
de TI
Operaciones
del Negocio
Alineación Estratégica de las TI
El directorio debiera conducir la alineación de forma de
asegurar que las TI agreguen valor, como:
Ventajas competitivas;
• tiempo transcurrido para cumplir una orden o entregar un servicio,
• satisfacción del cliente,
• tiempo de espera del cliente,
• utilidad y productividad y de los empleados
Apoyados por una estrategia de TI que asegure entregas
a tiempo, dentro del presupuesto y cumpliendo con los
beneficios prometidos.
Valor agregado de las TI
“El valor de las TI está en el ojo del observador”
Valor agregado de las TI
Mediciones de la Muestra Valor Agregado
Aumento de Ingresos
FINANZAS
Gestión del
Negocio
Gestión de
TI
Rendimiento sobre Activos
Ingresos por empleado
Tiempo para introducir un nuevo producto al
mercado
OPERACIONESVentas del nuevo producto
Calidad del producto/servicio
Tiempo de implementación de nuevas
aplicaciones DESARROLLO DE
APLICACIONES TICosto de implementación de nuevas
aplicaciones
Disponibilidad de la infraestructura
INFRAESTRUCTUR
A TICosto por transacción
Costo por área de trabajo
Tie
mp
o d
e im
pa
cto
en
el N
eg
oc
io
FINANCIERA
• # de clientes TI
• Costo por cliente
• Costo-eficiencia de los
procesos
• Valor agregado de las TI
por empleado
• Disponibilidad de sistemas y
servicios
• Desarrollo programado y
dentro del presupuesto
• Rendimiento & tiempo de
respuesta
• # de errores y trabajo de
corrección
• Nivel de prestación del
servicio
• Satisfacción de clientes
existentes
• # de nuevos clientes
• # de nuevos canales de
servicio
CLIENTES
• Productivad y moral del personal
• # del personal capacitado en nuevas
tecnologías/servicios
• Valor agregado por empleado
• Mayor disponibilidad de sistemas de
conocimiento
APRENDIZAJE
PROCESOS
Medición del desempeño, BSC IT
Activo de
Información
Riesgo intrínseco
Amenaza Vulnerabilidad
Riesgo residual
Control
tieneExpuesto a
Explota
Aplica
Queda
Administración del Riesgo, asociado a las TI
Visión de la Seguridad
SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, AntiVirus,
VPNs, Control de Contenidos, etc.
DISEÑO: Topologías, Arquitecturas, Servicios
GESTIÓN Y OPERACIÓN: Procedimientos, Políticas
ESTÁNDARES: ISO27001, NTP 17799
LEGISLACIÓN: LPDP, Firma Digital,
Interoperabilidad
Implementar
Gestionar
Planificar
Probar
CONSULTORÍA IMPLEMENTACIÓN AUDITORÍA
1. ¿Reconocerían los empleados un incidente cuando vean uno? ¿Lo ignorarían?
Sabrían ellos que hacer al respecto?
2. ¿Conoce alguien cuántos computadores tiene la organización? Sabría la
administración si alguno se pierde?
3. ¿Conoce alguien cuántas personas están usando los sistemas de la organización?
Le interesa a alguien lo que ellos hagan o si tienen acceso o no a los sistemas?
4. ¿Sufrió la organización con el último ataque de virus? Cuántos ocurrieron el último
año?
5. ¿Cuál es la información crítica de la organización? Sabe la administración dónde la
organización es más vulnerable?
6. ¿Está la gerencia preocupada de que la información confidencial de la compañía
pudiera filtrarse?
7. ¿Han sido revisados alguna vez los sistemas de seguridad por un tercero?
8. ¿Está la seguridad de las TI en la agenda regular de la gerencia?
Algunas preguntas para la Alta Gerencia
El Gobierno de TI, resumido
Objetivo
• Entender la importancia estratégica de TI
• Asegurar que la organización pueda sostener sus operaciones, y
• Asegurar que puede implementar las estrategias requeridas para extender sus actividades en el futuro
Meta
• Asegurar que las expectativas acerca de las TI son satisfechas, y el riesgo atenuado.
Posición
• Provee la estructura para facilitar la definición de objetivos globales, la indicación del método para la obtención de esos objetivos, y la manera por el cual el desempeño será monitoreado.
Evaluación de apreciación conceptual
Instrucciones: Forme equipos por afinidad, no mayores a 4
alumnos. Identifique y describa una organización guía (de
preferencia en la que alguno de los miembros esté
actualmente trabajando) y formule su posición
consensuada, en torno a lo solicitado…..
Tiempo: 40 minutos.
Autoevaluación inicial IT.Gov…
Importancia* Influencia* Total
a. Costo de la utilización efectiva de las IT
b. Utilización efectiva de las IT para producir crecimiento
c. Utilización efectiva de las IT para el máximo aprovechamiento de los activos
d. Utilización efectiva de las IT para ganar flexibilidad empresarial
* 1-ninguna, 5-muy/mucha
1. Nuestros directivos pueden describir con detalle el IT-Governance de la organización. Grado*
2. Nuestro IT-Governance fue diseñado de forma activa y no mediante acciones descoordinadas.
3. Nuestro IT-Governance es estable y ha sufrido pocos cambios en los años recientes.
4. Los gerentes NO-IT reciben asesoramiento con el objetivo de que puedan seguir las directrices
establecidas.
5. Hay un número muy reducido de objetivos de negocio claves que dirigen el diseño del IT-Governance.
6. Tenemos unos procesos de excepciones rápidos y bien definidos.
7. El IT-Governance tiene un(os) claro(s) propietario(s) y existen indicadores de medida del éxito.
8. Los sueldos, los incentivos y el IT-Governance están en concordancia.
9. Tenemos un IT-Governance efectivo en la totalidad de la organización y en concordancia con los objetivos
de negocio.
10. Nuestro director de SI podría ausentarse dos meses y nuestro IT-Governance seguiría funcionando
correctamente.
1. ¿Cuál de los arquetipos de IT.Gov se practica en su
empresa?. Describa un caso que lo sustente.
2. ¿Cuáles son los tres mecanismos comunes de IT.Gov
más utilizados en su empresa?. Describa un caso por
cada uno de ellos.
Describa y sustente ¡¡¡
Responda ¡¡¡ (utilice estimaciones cuantitativas en sus respuestas)
a) ¿Cuántos directivos consideran que los asuntos relacionados con las
TIC corresponden exclusivamente al departamento TI?
b) ¿Cuál es el retorno de las inversiones en TI en su empresa?
c) ¿Es claro el propósito de las TI en su organización?
d) ¿Están los usuarios, satisfechos con la calidad del servicio de TI?
e) ¿La infraestructura y los recursos disponibles de TI son suficientes
para lograr los objetivos estratégicos de la organización?
f) ¿Cuánto tiempo se necesita para tomar decisiones importantes
respecto a TI?
g) ¿El esfuerzo y las inversiones relacionadas con TI, son transparentes?
h) ¿Cuánto del esfuerzo TI se dirige a solucionar problemas en lugar de
permitir mejoras en el negocio?
Nelly Reyes
GOBIERNO
DE LAS TECNOLOGIAS DE INFORMACIÓN
Evolución de las Empresas y del Rol de TI
en las OrganizacionesNelly Reyes I.
Evolución de las Organizaciones
Al final, la nueva economía no está en la tecnología, ya seaésta el microchip o la reden la mente humana.
global de telecomunicaciones. Está
Alan Webber
Alan Webber, ¿Qué es tan nuevo acerca de la nueva economía?,Harvard Business Review, 1993.
Escenario actual
•••••
•
Globalización de la Economía
Velocidad del cambio
Rápido y fácil Acceso a la Información
Innovación
Obsolescencia de los esquemas deproducción
Empowerment
Escenario actual
Gestión en la era de la información
• Lo importante ahora es la gestión deactivos Intangibles y su capacidad de
loshacer,
loo
o
o
o
o
que nos permite:Desarrollar relaciones de lealtad Introducir
productos por segmentos Producir según
especificaciones de calidad Motivar y
movilizar habilidades
Aplicar tecnologías innovadoras
Escenario actual
CÓMO NACEN LAS EMPRESAS
••
•
•
La base de cualquier empresa, es su fundador
El fundador determina las reglas de la empresa como colaborará su personal
y la forma
El fundador ejerce una influencia dominante y cohesiva enla organización
Con el transcurso del tiempo, la empresa crece.
o La influencia del fundador en la conducta de losempleados, prácticamente desaparece.
o Los empleados ahora son influidos por otras personas con otras ideas (niveles medios).
ORGANIZACIONES AYERDE
•
•
•
•
Escenario economía cerrada
Compañías orientadas a producir un producto o servicio.
Mercado con capacidad de absorber a todos.
Comercialización y venta fácil.
ORGANIZACIONES TRADICIONALES
•••••••••
Deseo de Estabilidad
Múltiples Niveles Administrativos
Reducción de riesgos
Toma decisiones lenta, central.
Respuesta al cliente tardada
Miembros especialistas
Importa jerarquía, control
Tamaño grande, inflexibilidad
Medio comunicación: Papel
ORGANIZACIONES DE HOY
•
•
•
•
Escenario de una economía abierta
Compañías orientadas a servir al cliente
Entorno altamente competido.
Comercialización y venta claves para la supervivencia.
ORGANIZACIONES MODERNAS
•••••••••
Dinámicas
Plana, esfera de comunicaciones
Explota nuevas oportunidades
Información disponible para todos.
JIT en la Información
Miembros con conocimiento/autodirección.
Autoridad y mando circular. (Trabajo en equipo)
Esbeltas
Medio de comunicación: Electrónicos.
ORGANIZACIONES MODERNAS
LA EMPRESA 3-D
•••
Geográficamente Dispersos
Gerenciamiento Distribuido
Organizados Diversamente
El concepto de organización centralizada, homogénea y jerárquica no es aplicable hoy en día. Inevitablemente las organizaciones deben estar unidas por tecnología y una administración operacional.
LA EMPRESA 3-D
El uso de la Tecnología es mandatorio
•
•
La Dispersión es manejada a través de links infraestructura para compartir información
electrónicos y una
La Decisiones distribuidas dependen de la rápida generación ydiseminación de la información. Información de: operaciones locales, prioridades corporativas, condiciones del mercado las otras unidades de negocios, proveedores y usuarios
La Diversidad es manejada por una continua comunicación yherramientas de colaboración y la modularizacion que debentener las tecnología para adaptarse al mercado local.
•
LA EMPRESA 3-D
• El crecimiento por demanda de información en los negocioshace que se necesita respuestas rápidas
• Procesos lentos en gestión de planeamiento y gestión operacional, simplemente no deben ocurrir
LA EMPRESA 3-D
En cuanto a sus productos y/o servicios:
• ¿Es la compañía capaz de entregar sus productosservicios mas rápido que sus competidores?
o
• ¿Suministran el producto o servicio en la fechaentrega prometida?
¿Es la compañía capaz de ofrecer soporte del producto o servicio después de la venta?
de
•
• Ofrecen una amplia variedad de productos o serviciosa sus clientes?
LA EMPRESA 3-D E IT
• Los vastos requerimientos de información están haciendoque los departamentos de sistemas cambien su enfoque
• Los limites entre lo que es IT y el resto de la empresa estándesapareciendo pues ahora las unidades de negocios debentrabajar juntos para implementar un proyecto
• La responsabilidad se comparte. Las gerencias debenconocer las capacidades que IT puede dar
• Conocer el negocio debe ser una necesaria competencia dela gente de IT
LA EMPRESA 3-D E IT
• Los negocios actualmente necesitan de gente en IT conmucha capacidad de poder orquestar y sintonizar lasnecesidades corporativas, de la división y de losdepartamentos a fin de poder proporcionar suficienteinformación a los usuarios, proveedores, clientes y otrasfuentes de recursos.
IT debe organizarse de tal forma que pueda brindar sus servicios, cuando sea necesario, donde sea necesario y con el ancho de banda que se necesite.
•
Strategic
Operational levelDay to Dayoperation
Tactical levelMedium termdecisions
Strateg
level
Long termdecisions
Así apareció la división jerárquica en tres niveles, la gerencia, los mandos medios y los operadores.
y la divisiónproducción,
funcional con funciones como marketing,distribución, administración y finanzas.
La Empresa 3-D y Organización
El nuevo modelo de negocios: Un corto ciclo innovador tanto de conceptos,
productos y del propio modelo de organización
La mayor sensibilidad ante los cambios permanentes del mercado combinada con la mayor velocidad de respuesta.
La total orientación de todo el modelo organizacional hacia la solución de las necesidades de los clientes con nombre propio
IT DOES NOT MATTER??
• Nicholas Carr, de Harvard Business Review escribió unartículo “TI no importan”
• ...Porque todas las empresas pueden comprar TI en elmercado,
• ...porque cualquier ventaja obtenida por una compañíapuede ser fácilmente copiada por otra compañía,
IT DOES NOT MATTER??
• ...porque TI es ahora un comodity basado en estándares(como Internet) que cualquier compañía puede usar
• ...no es ya un factor diferenciador en el desempeño de unacompañía
Evolución del Rol de las TI en lasOrganizaciones
Evolución del Rol de las TI
Cual es la futura dirección de informática• De acuerdo con Nicholas Carr, autor de
“The Big switch”, publicado en enero de2008, la industria de TIC está ahora en uncambio de paradigma enorme donde lasempresas se desplazarán desde el caropersonal profesional de TI y las costosasinfraestructuras, a menos personal de TI yobtener sus servicios a través de Internetaccesando a los proveedores comoGoogle, Microsoft, etc.. Esto se denomina“Computación en la nubes."
Estos servicios se prestarán en servidores que son accesibles a través de las tecnologías de Internet y la web.
•
Evolución del Rol de las TI
Cual es la futura dirección deinformática
De acuerdo con Bill Gates y Ray Ozzie, en memos publicados el 30 de octubre de2005:
Microsoft debería orientarse a abrazarla web y servicios web: “Pues a laspersonas no les interesara cómofunciona su computador sino quesimplemente quieren sus resultados“
Estos servicios se prestará en servidores que son accesibles a través de Internety las tecnologías de la web.
•
•
Evolución del Rol de las TI
Evolución del Rol de las TI
• En 1968, un Ing. Intel llamado Ted Hoff inventóel microprocesador impulsando avancestecnológicos que han transformado el mundoempresarial.
Las TI permitieron operaciones de empresas individuales, unen cadenas de suministro lejanas, y permite enlazar a las empresas con sus clientes.
•
Evolución del Rol de las TI
• Veinte años atrás la mayoría de los ejecutivos veían a lacomputadora como una herramienta perteneciente a losempleados de más baja posición en la empresa. Latecnología de información no estaba incorporada en supensamiento estratégico
• Actualmente, éste fenómeno es tratado rutinariamente porlos gerentes de más alto nivel. Analizan cómo usar TI paraubicarse en una posición competitiva frente al resto.
Evolución del Rol de las TI
Tendencias de Gastos en TI
Evolución del Rol de las TI
Pensamiento Ejecutivo
• Los altos ejecutivos, por mucho tiempo habían vistoque las TI eran automatizadoras de tareas repetitivas,empezaron a hablar con frecuencia del valorestratégico de las TI.De cómo podían usar las TI para obtener ventajascompetitivas y de la digitalización de su modelo denegocio.
•
• Incluso incluyeron al CIO en su grupo de gestióndirectiva
Evolución del Rol de las TI
Pensamiento Ejecutivo
• Muchas empresas contrataron empresas de consultoríaestratégica para proporcionar nuevas ideas sobre cómo sacarpartido a sus inversiones en TI para la diferenciación yventajas.
Evolución del Rol de las TI
Las TI comienzan a transformarse en:
•
•
Recursos potencialmente estratégicos a factoresproducción.
de
Los costos de hacer negocios que deben ser pagados portodos pero que no proporcionan distinción a nadie.
Evolución del Rol de las TI
Cambio en Pensamiento Ejecutivo
Se basó en el hecho de que al incrementar la potencia yubicuidad de las TI, su valor estratégico también sehabía incrementado.
Evolución del Rol de las TI
Correcciones
Pero este razonamiento es erróneo.
Lo que hace a un recurso estratégico es su su ubicuidad.
•
• escasez, no
Las funciones de las TI (almacenar, procesar y•
transportar datos) están disponibles universalmente ytodas las organizaciones se las pueden permitir. Soncommodities.
Los costos TI son necesarios para llevar a cabo•
negocios y no proveen ningún tipo de ventajacompetitiva.
Evolución del Rol de las TI
Evolución
• Las TI son las últimas de un grupo de tecnologías quehan cambiado la industria en los dos últimos siglos: lamáquina de vapor, el tren, el telégrafo, el teléfono, etc.
• Durante un tiempo, cada una de ellas supusieronoportunidades para aquellos que iban por delante.Pero al incrementarcosto, dejaron de ser
su disponibilidad y disminuir suestratégicas.
Evolución del Rol de las TI
DESVANECIMIENTO DE VENTAJAS
Dos tipos de tecnología:
•Las tecnologías propietarias (por ejemplo: un medicamento, un proceso productivo, un material de embalaje) sí son fuente de ventaja competitiva sostenible.Las tecnologías propietarias pueden ser de una solacompañía.
Un fabricante industrial posee una forma innovadora deutilizar una tecnología de proceso que los competidoresles resulta difícil de replicar. Siempre que estén
•
•
protegidas, las tecnologías propietarias pueden serventajas estratégicas a largo plazo.
Evolución del Rol de las TI
Desvanecimiento de ventajas
• Las tecnologías infraestructurales (vías del tren,teléfonos), por el contrario, adquieren mayor valoren función de que se compartan y distribuyan enmayor medidaaislada.
y no cuando se usan de manera
Evolución del Rol de las TI
Desvanecimiento de ventajas
Una de las características más importantes de lastecnologías de infraestructura es la rapidez con la que seinstalan:
• Primero ocurre una inversión masiva (etapa inicial )que provoca la caída de los precios y
• Segundo rápidamente se convierte en un recursodisponible para todos (etapa de uso generalizado)
Evolución del Rol de las TI
Desvanecimiento de ventajas
InformaciónFerrocarriles Generación eléctrica Tecnología de la
Etapa inicial
Etapa de uso generalizado
Obs.
1841 1889 1990
1876 1920 2002
Se hace masivo cuando las Se utilizó como medida elredes o cables número de usuarios dese incorporan a nivel Internet.familiar en campos yciudades
entos de
Evolución del Rol de las TI
Desvanecimiento de ventajas
• La ventana para obtener ventajas de unatecnología de infraestructura está sólobrevemente abierta
Por ejemplo, las vías del ferrocarril, líneas telegráficas, líneas de energía, todo fue colocado en un frenesí tan intenso en el caso las líneas de ferrocarril que costó cividas de trabajadores.
•
de
Evolución del Rol de las TI
Hipótesis errada
El error en el que caen los ejecutivos es suponer que•
las oportunidades de ventaja competitiva estarándisponibles indefinidamente.
La oportunidad de obtener ventajas competitivas detecnologías infraestructurales existe durante un muycorto periodo de tiempo.
Las tecnologías infraestructurales tienen influencia
•
•
sobre la competitividad. Solo que pasan a tenerinfluencia únicamente a nivel macroeconómico (anivel de país o de sector industrial, por ejemplo).
Evolución del Rol de las TI
La comoditización de las TI
Sin duda alguna, las TI tienen todo a favor tecnologías infraestructurales.
de ser•
Tienden rápidamente hacia la comoditización.
Las TI son un mecanismo de transporte, por lo
•
• que suvalor es mucho mayor cuando se comparten quecuando se usan aisladamente.
La mayoría de los procesos y actividades de negocio están metidos en las TI, estos también son replicables.
Internet ha supuesto la aparición de un canal perfecto para entregar las aplicaciones.
•
•
Evolución del Rol de las TI
La Comoditización de las TI
• Las TI al ser altamente replicables, condenaaplicaciones propietarias a la obsolescencia económica.«Las empresas pueden comprar aplicaciones yahechas»
No sólo el software se puede repetir «La mayoría de las actividades y procesos de negocio han llegado a ser incorporados en el software.»
La llegada de Internet proporciona un canal de entrega para aplicaciones genéricas. «Las empresas están comprando "Servicios Web" por parte de terceros, similar a la compra de energía eléctrica o de servicios de telecomunicaciones. »
•
•
Evolución del Rol de las TI
La comoditización de las TI
Compañías como:
• American Airlines, con su sistema de reservas Sabre.
•••
Federal Express con su sistema de rastreo de paquetes.
Mobil Oil con su sistema automático de pago Speedpass.
Las subastas de eBay en Internet
Usaron TI para obtener ventajas operativas y de marketing,ganando ventajas a través de la implementación deinnovaciones de TI.
Y ventajas adicionales, como las economías de escala y reconocimiento de marca, son más duraderas que la ventaja tecnológica original.
Evolución del Rol de las TI
La comoditización de las TI
•
•
•
•
Tener o desarrollar IT por sí sola no suele brindarventaja estratégica
Sin embargo, a partir de innovación en IT , se puede desarrollar Ventaja Estratégica
Caso Wal-Mart : Reporte Ventas “al minuto” para elminorista y proveedores. Logística.
Caso Dell : “Comoditización” de PC's a servidores,almacenamiento y servicio
Evolución del Rol de las TI
La comoditización de las TI
El despliegue de la industria definal que del principio debido a:
las TIC está más cerca del
1. La potencia de las TIC ya es mayor que la capacidadque necesitan los procesos de negocio.
Los precios las hacen alcanzables a cualquiera.
Ya se tiene más capacidad de distribución en Internet que necesidades.
Los propios vendedores corren hacia la posición de proveedores de commodities.
La burbuja inversora ha estallado.
2.3.
4.
5.
Evolución del Rol de las TI
La comoditización de las
•
TI
La realidad: La TI, es un recurso disponible al alcancetodosde cualquier empresa. Su uso se puede ver en
lados, razón por lo cual, este recurso, ya no forma partede una ventaja competitiva… «IT doesn't matter»
«El valor estratégico de un recurso es mayor cuando la escasez de su uso es mayor.»
• La empresa podrá mantener una posición estratégicaen el mercado, siempre y cuando tenga algo que lasdemás no tienen o haga algo que el resto no puede.
Evolución del Rol de las TI
La comoditización de las TI
• La Tecnología de la Información es más bien vistacomo la última de las tecnologías que segeneralizaron y transformaron la industria en estosúltimos dos siglos.
• Algunos descubrimientos en su etapa de desarrolloinicial tenían un muy alto valor estratégico y con eltiempo y el comienzo de su uso generalizado suvalor estratégico iba disminuyendo hastadesaparecer
Evolución del Rol de las TI
De la estrategia ofensiva a la defensiva
Del pasado, la lección es clara: cuando un•
recurso es imprescindible para competir, peroinútil para la estrategia, los riesgos que generason mucho mayores que las ventajas queprovee.
Los problemas potenciales de las TI son•
numerosos: técnicos, obsolescencia, malosproveedores, seguridad, incluso terrorismo.
El mayor riesgo es uno: el gasto excesivo.
Es necesario más rigor a la hora de evaluar losretornos de la inversión, más creatividad a lahora de explorar soluciones más económicas ymás sencillas y una apertura al outsourcing
•
•
Evolución del Rol de las TI
De la estrategia ofensiva a la defensiva
El caso más sencillo es el mercado de los PCs y las•
aplicaciones ofimáticas. En muchos casos, el gasto sebasa en las estrategias de los vendedores.
El espacio deen
almacenamiento, uno de los gastos•
principales el área de TI, algunas estimacionescifran en un 70% el almacenar spam, ficheros MP3 yotro tipo de contenidos que poco tienen que ver con laproductividad empresarial.
Posponer la inversión en TIC es una buena fuente deahorros, de forma que las tecnologías sean adquiridascuando ya han entrado en su fase de comoditización.
•
Evolución del Rol de las TI
De la estrategia ofensiva a la defensiva
En general, el gasto en TI tiene poca relación con los•
resultados financieros. Algunos estudiosdemuestran que las empresasaquellas que menos gasto en TI
más rentables sonrealizan (las 25 más
rentables gastaron de media un 0,8% frente alestándar del 3,7%).
La gestión de las TI debería convertirse en algo•
aburrido. La clave para el éxito empresarial no seencuentra en la búsqueda agresiva de ventajas, sinoen la adecuada gestión de los riesgos y los costes.
Evolución del Rol de las TI
Nuevas reglas para la gestión de las TI
• Gastar menos
• Seguir, no liderar
• Enfocarse en las vulnerabilidades, nooportunidades
en las
Evolución del Rol de las TI
Nuevas reglas para la gestión de las TI• Gastar menos.
Estudios han comprobado que las compañías con mayor capital invertido enTI, rara vez poseen los mejores resultados financieros. En general, ocurre locontrario.
• No adelantarse con lo nuevo, seguir de cerca sudesarrollo en su puesta en práctica.
Cuanto más se espera para comprar recursos tecnológicos nuevos e innovadores, menores serán los riesgos de comprar recursos defectuosos destinados a la obsolescencia. Debe encontrarse el punto justo.
Concentración en las vulnerabilidades de la compañía con respecto a la tecnología más que en las oportunidades que ésta ofrece.
Es inusual que la empresa gane una ventaja competitiva a través del uso distintivo de una tecnología de infraestructura. Pero una breve interrupción de su disponibilidad puede ser muy perjudicial.
•
Evolución del Rol de las TI
RIESGOS OPERACIONALES ASOCIADOS A LAS TI
• Fallas técnicas, obsolescencia, interrupciones del servicio,brechas de seguridad, etc. Una interrupción de TI puedeparalizar la capacidad de una compañía para hacer susproductos, ofrecer sus servicios, y conectar con sus clientes,y su reputación.
El almacenamiento de datos, representa más de la mitad de los gastos en muchas empresas. Se debe restringir la capacidad de los empleados para guardar archivos de manera indiscriminada e indefinidamente.
•
Evolución del Rol de las TI
RIESGOS
•
OPERACIONALES ASOCIADOS A LAS TI
Dell y Wall-Mart permanecen bien lejos de la tecnologíade punta, esperando para hacer las compras hasta quelos estándares y las mejores prácticas se solidifiquen.
Dejan que sus competidores impacientes experimenten altos costos, y luego barrer delante de ellos, gastando menos y obteniendo más.
•
Evolución del Rol de las TI
CAMBIO EN LAS GESTIÓN DE TI
• Las empresas deben gestionar susinfraestructuras de TI para reduciren requerimientos de inversión decapital y costos operativos.
A medida que las empresas dependen de plataformas de TI para sus operaciones, deben concentrarse en las vulnerabilidades y administrar más agresivamente la fiabilidad y la seguridad.
•
Evolución del Rol de las TI
CAMBIO EN LAS GESTIÓN DE TI
Extraer valor de TI requiere, innovaciones en las prácticas empresariales
• Empresas que ponen TI en forma mecánica en sus negocios,sin cambiar sus prácticas de explotación de las nuevascapacidades sólo destruirá el valor económico de TI.
Muchas oportunidades para innovaciones en prácticas de negocios deberían incluir relaciones a largo plazo con otras empresas con capacidades y equipos complementarios.
No es la TI la que ofrece ventaja competitiva, sino comousarla efectivamente.
El potencial de la tecnología para diferenciar una empresa disminuye a medida que se convierte en accesible y asequible para todos.
•
•
•
Evolución del Rol de las TI
CAMBIO EN LAS GESTIÓN DE TI
El impacto económico de TI proviene de innovacionesincrementales en lugar de grandes iniciativas
• Las grandes iniciativas impulsadas por TI, soncomplicadas y costosas, requieren mucho tiempo
ejecutarlas y cargados de riesgos.para
• Para obtener ventajas competitivas se requiere conocermuy bien las fortalezas, debilidades, amenazas yoportunidades de la organización para incorporar deforma clave el uso de tecnologías de información en susoperaciones.
Evolución del Rol de las TI
CAMBIO EN LAS GESTIÓN DE TI
• Muchas veces los encargados de TI de las organizaciones,debido al afán de tener la mejor tecnología , lo último , lamejor calidad , se lanzan a la compra de estos productosdejándose llevar por la publicidad de los grandesvendedores de tecnología , cuando lo más racional seríaanalizar a conciencia qué es lo que la empresa necesitarealmente en cuanto a capacidad en TI y buscar diferentesprecios y alternativas para seleccionar así la opción óptima.
«Nicholas Carr deja en claro que quienes se ocupan de la tecnología de la información en las empresas, deben tener en cuenta que esa euforia de la TI ya no existe porque es un recurso disponible que está al alcance de cualquier empresa por la cual ya no forma parte de una ventaja competitiva.»
Evolución de los Sistemas
INTRODUCCIÓN
• El origen de los Sistemas de Información está íntimamenterelacionado con el origen de las organizaciones a tal puntoque un Sistema de Información no puede existir sino existeuna organización.
• Los Sistemas de Información han evolucionado conforme lohan hecho las empresas.
SistConj
aciónentes in ue
Que es un Sistemas de Información?
ema de Informunto de compon terrelacionados q
Capturan
la información para apoyar
Almacenan Procesan Distribuyen
Toma de decisiones Control Análisis Visión
de una institución. SIBC (Sistemas de Información Basados en Computadora)
Sistemas de Información
IMPORTANCIA DE LOS SI
• Industrias que no pueden sobrevivir sin uso extensivo deS.I.
o E-commerce (Amazon, eBay, Google, E-Trade, online universities: University of Phoenix)
o Compañías de servicios –Finanzas, Seguros, Estado,Viajes, Medicina, Educación.
o Cadenas comerciales: Walmart, Sears
o Manufactureras: General Motors, General Electric
TICs son la base para negocios en el siglo XXI•
IMPORTANCIA DE LOS SI
• Lo que una empresa desea hacer dentro de 5 añosdependerá de lo que sus sistemas puedan hacer
o Incrementar su mercado
o Convertirse en el productor de alta calidad o bajo costo
o Desarrollar nuevos productos
o Incrementar la productividad de los empleados
o Depende del tipo y calidad de información